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Prufungsantrag gem. § 44 PatG ist gestellt 

@ Verfahren zum Absichern einer Transaktion auf einem Cdmputernetzwerk . 

(57) Es wird ein Verfahren zum Absichern einer Tr ansa kt ion 
uber ein Compute rnetzwerk beschrieben, bei dem an ei- 
nen Servicenutzer ein einmaliges Transaktionskennwort ' 
ubermittelt wird, welches zur Transaktionsbestatigung 
vom Servicenutzer uber das Computernetzwerk an einen 
Serviceanbieter ubermittelt wird. Das Transaktionskenn- 
wort wird dabei uber ein Mobilfunknetz an ein mobiles 
Kommunikationsendgerat des Servicenutzers ubermit- 
telt, wobei yor einer Obermittlung des Transaktions- 
Kennworts an den Servicenutzer eine Oberprufung per- 
sonlicher Servicenutzer-Daten erfolgt 
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V Beschreibung 

[0001] .. Die Erfindung betrifft ein Verfahren zurn Absi- 
chem einer Transaktion auf einem Computer- oder ahnli- 
chem Netzwerk, beispielsweise im Internet oder auch in ei- 5 
nem groBeren organisationsintemen Intranet,, bei dem an ei- 
neq Servicenutzer ein einmaliges Transaktionskennwort 
uberaiittelt wird, welches zur TYansaktions-Bestatigung 
vom Servicenutzer uber das Computemetzwerk an einen 
Serviceanbieter uberaiittelt wird. 10 
[0002] . Ein derartiges Verfahren wird zur Zeit beispiels- 
weise bei dem iib lichen Online-Banking- Verfahren genutzt 
. Der Bankkunde bekommt hierbei auBer der PIN zusatzliche 
Transaktionsnummem, sogenannte TAN, zugesandt, die je- 
weils nur fur eine einzige Transaktion verwendet werden is 
konnen und anschlieBend ihre Giiltigkeit verlieren. Nur bei 
Ubereinstimmung der PIN und der TAN mit den beim On- 
line-Banking- Anbieter hinterlegten Werten wird die Trans- 
aktion durchgefuhrt. Da die TAN nur ein einziges Mai ver- 
wendet wird, ist sichergestellt, dass Unbefugte, denen es ge- 20 
lingt, den Datentransfer zwischen Bank und Kunden auszu- 
spionieren, mit den errnittelten Paten keinen Missbrauch 
treiben konnen. Die TAN bietet sorhit eine zusatzliche Si- 
cherheit fur den Kunden, da so ein Missbrauch der Online- 
Bankverbindung erheblich reduziert wird. Zum anderen bie- 25 
tet sie aber auch eine zusatzliche Sicherheit fur den Online- 
Banking-Anbieter, da durch die Zusammenwirkung von 
richtiger PIN und richtiger TAN die Authentizitat des Kun- 
den bestatigt wird. Derartige vom Online-Banking bekannte 
Verfahren sind selbstverstandlich auch anwendbar,.* um 30 
Transaktionen im Zusammenhang mit anderen Geschaften 
im Internet, beispielsweise beim Kauf von Waren, auszufuh- 
ren. 

[0003] Um zu verhindem, dass Unbefugte in den Besitz 
der TAN gelangen, solange sie noch fur eine Transaktion 35 
verwendet werden kann, erfolgt die Zusendung der TAN an 
den Kunden bisher per Brief unter entsprechenden Sicher- 
heitsbedingungeri. Wegen des erheblichen Aufwands und 
der Dauer eines postalischen Versands werden hierbei ubli- 
chierweise an den Kunden gleich mehrere gultigeTAN, bei- 40 
spielsweise 40 verschiedene TAN, versandt, die der jeweili- 
gen PIN des Kunden zugeordnet sind. Der Kunde muss die 
40 TAN an gesicherter Stelle aufbewahren und kann jede 
dieser TAN einmal verwenden. Sobald der Kunde alle TAN 
verbraucht hat, kann er neue TAN von seiner Bank anfor- 45 
dem, 

[0004] Es ist offensichtlich, dass die Verwaltung solcher 
TAN, besonders fur den Kunden, auBerst unkomfortabel ist 
In der Regel besteht die Moglichkeit, die erhaltenen TAN im 
Computer des Kunden mit geeigneter Software abzuspei- 50 
chern! Es wird dann automatisch bei Durchfuhrung einer 
Transaktion vom Online-B anking-Programm eine der ge- 
speicherten TAN verwendet und anschlieBend als geloscht 
gekennzeichneL D. h. es werden automatisch zum richtigen 
Zeitpunkt innerhalb einer Transaktion PIN und TAN iiber-- 55 
tragen, ohne dass der Kunde direkt eingreifen muss. Die Ab- 
speicherung der TAN und/oder der PIN birgt jedoch die er- 
hebliche Gefahr, dass diese sensiblen Daten durch Unbe- 
fugte auf dem Computer des Kunden, beispielsweise durch 
sogenannte "Trojanische Pferde" oder ahnliche Programme, 60 
ausspiomert werden und dann fur einen Missbrauch verwen- 
det werden konnen. Die sicherere Alternative hierzu bedeu- 
tet jedoch, dass der Kunde die TAN nicht in seinem Rechner 
speichert, sondern statt dessen in schriftlicher Form an si- 
cherer Stelle aufbewahrt Da es fur den Kunden in der Regel 65 
aber unpraktikabel ist, sich mehrere dieser TAN zu merken, 
bedeutet dies gleichzeitig, dass der Kunde die schriftlich no- 
tierten TAN mit sich fDhren muss, wenn er von versehiede- 



neh Orten und unterschiedlichen Rechnern aus seine Bank- 
geschafte durchfuhren will. Zudem besteht bei dieser Auf- 
bewahrung auch die Moglichkeit, dass die TAN dem Kun- 
den beispielsweise durch Diebstahl abhanden kommt oder 
verloren geht und in unbefugte Hahde gelangL 
[0005] In der US 5,809,144 wird ein Verfahren zum Ver- 
kauf und zur Lieferung von. Waren im Internet genannt, bei 
dem zur Absicherung von Kunden und Verkaufern gegen- 
einander sowie zur Sicherung gegen Abhoren und Miss- 
brauch von Daten ein Verfahren vorgeschlagen wird, das die 
t)bersendung mehrerer kryptographischer Checksummen 
sbwie einer Signatur einschlieBt.. Dieses Verfahren ist je- 
doch auBerst aufwendig und rechenintensiv. 
[0006] Es ist Aufgabe der vorliegenden Erfindung, eine 
Alternative zum genannten Stand der Technik zu schaffen, 
mit der auf einfache und sichere Weise eine Absicherung ei- 
ner TVansaktion, beispielsweise einer Zahlungstransaktion, 
iiber ein Computemetzwerk bzw. ein Netzwerk, welches 
zum Austausch von Daten geeignet ist (z. B. Internet-Nut- 
zung uber Mobilfunk), moglich ist 

[0007] Diese Aufgabe wird durch ein Verfahren gemaB 
Paten tans pruch 1 gelost Die abhangigen Anspriiche enthal- 
ten vorteilhafte Weiterbildungen und Ausgestaltungen des 
erfindungsgemaBen Verfahrens. 

[0008] Bei dem erfindungsgemaBen Verfahren wird eben- 
falls an den Servicenutzer, d. h. den Kunden, ein einmaliges 
Transaktionskennwort ubermittelt, das dieser zur Transakti- 
onsbestatigung iiber das Computemetzwerk an. einen Ser- 
viceanbieter zuruckubermittelt, um eine Zahlung durchzu- 
fuhren. Bei dem Transaktionskennwort kann es sich um ein 
beliebiges Kennwprt handeln. Vorzugsweise handelt es sich 
Um eine Nummer, d. h. eine iibliche TAN. Zur Erhohung der 
Sicherheit werden dabei vor der "Dbermittlung eines Trans- 
aktions-Kenn worts an einen Servicenutzer dessen personli- 
che Daten iiberpruft. Hierbei handelt es sich in erster Linie 
um diejenigen Daten, die fur die TVansaktion benotigt wer- 
den, beispielsweise um den Namen, die Adresse, eine Kre- 
.ditkartennummer und eine Mobilfunkteimehmemummer 
des Kornmunikationsendgerats des Servicenutzers. Nebeh 
diesen Daten konnen selbstverstandlich, alteraativ oder zu- 
satzlich zum Namen und zur Adresse, weitere Daten, bei- 
spielsweise eine Ausweis- oder Passnummer des Service- 
nutzers, registriert werden. 

[0009] Das Ttansaktionskennwort dient wie in den ein- 
gangs genannten Fallen der Absicherung des Servicenutzers 
und zur Authentisierung des Servicenutzers gegeniiber dem 
Serviceanbieter. Es wird nur einmal fur eine einzige Trans- 
aktion verwendet und verliert anschlieBend seine Giiltigkeit 
Das Transaktionskennwort wird vom Serviceanbieter mit ei- 
nem dort gespeicherten Transaktionskennwort verglichen 
und nur bei Uberemstimmung, d, h. bei Rucksendung des 
richtigen Transaktions-Kennworts, wird die Transaktion 
durchgefuhrt Die Ubersendung des Transaktions-Kenn- 
worts zum Servicenutzer erfolgt nicht Uber das Computer- 
netzwerk, son dem iiber ein Mobilfunknetz an ein mobiles 
Kommunikationsendgerat des Kunden. Bei dem Mobilfunk- 
netz kann es sich um ein beliebiges Mobilfunknetz, bei- 
spielsweise GSM oder UMTS, handeln. Der Begriff Mobil- 
funknetz umfasst hierbei auch entsprechende Pager-Netze. 
Bei dem mobilen Kommunikationsendgerat handelt es sich 
beispielsweise um ein handelsubliches Mobilfunkgerat, ei- 
nen Pager oder einen PDA mit entsprechender Mobilfunk- 
Funktion. 

[0010] Der Servicenutzer kann das Transaktionskennwort 
direkt vom Serviceanbieter erhalten. Selbstverstandlich ist 
es auch moglich, dass das Transaktionskennwort yon einer 
anderen Stelle, beispielsweise einer Kreditkarten-Org anisa- 
rion oder einem Mobilfunknetz- Anbieter, welcher mit dem 
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Serviceanbieter in Verbindung steht, an den Servicenutzer 
iibermittelt wird. Entscheidend ist, dass hier, anders als bei 
der eingangs genannten US. 5,809, 144 die sicherheitssensi- 
blen Paten, die der Servicenutzer zur Bestatigung einer 
Transaktion an den Serviceanbieter uber das Computernetz- 
. werk versenden soil,, nicht uber das gleiche Netzwerk er- 
folgt, sondern dass zur tJbersendung des Transaktions- 
Kenn worts an den Servicenutzer ein vollig anderer Weg ver- 
wendet wird. Dies erhoht die Sicherheit erheblich, da fur ei- 
nen Missbrauch durch eine unbefugte Person nun nicht 
mehr nur Name, Adresse usw. des Servicenutzers bekannt 
sein miissen, sondem er sich auch noch im Besitz des Kom- 
munikationsendgerats des Servicenutzers befinden muss. 
[00U] Da bei dem erfindungsgemaBen Verfahren die 
Obersendung des Transaktions-Kenn worts, anders als bei 
einer Ubersendung mit speziellef Post wie beim bisherigen 
Online-Banking- Verfahren, schnell urid unkompliziert ist, 
ist es moglich, dass das Transaktionskennwort jeweils direkt 
wahrend oder unmittelbar vor einer Transaktion an den Ser- 
vice-Nutzer iibermittelt wird. D. h. es ist nicht mehr notig, 
dass vorab mehrere Nummern Obermittelt werden. Somit ist 
es auch nicht mehr erforderlich, dass der Service-Nutzer 
mehrere Nummern sicher so verwahrt, dass er die Nummer 
zuin geeigneten Zeitpunkt zur Hand hat Damit ist gleichzei- 
tig ausgeschlossen, dass Unbefugte in den Besitz eines 
Blocks von TAN komrnen. 

[0012] Zur Oberprufung dieser Daten wird dann ein Kon- 
sistenz-Abgleich zwischen dem Serviceanbieter, einem Mo- 
bilfunknetz-Anbieter und einer Kreditkartengesellschaft 
durchgefiihrt, d. h. der Serviceanbieter ftihrt beispielsweise 
einen Abgleich der Daten mittels einer Datenbankabfrage 
beim Mobilfunknetz-Anbieter und einer gleichzeitigen Da- 
tenbarik-Abfrage bei der Kreditkartengesellschaft durch. Er 
stellt so sicher, dass die Mobilfunk-Teilnehmernummer und 
die Kreditkartennummer zum selben Servicenutzer gehoren. 
Gleichzeitig kann selbstverstandlich auch eine Abfrage iiber 
die Zahlungsfahigkeit des Servicenutzers iiber die Kredit- 
karte erfolgen. 

[0013] Nur nach einem erfolgreichen Konsistenz-Check 
der Servicenutzer-Daten wird der Service schlieBlich freige- 
sc halted und dem Servicenutzer wird ein Transaktionskenn- 
wort ubermittelt, mit dem er schlieBlich die Transaktion 
durchfuhren kann. 

[0014] Da die Ubermittlung samtlicher'Servicenutzer-Da- 
ten sowie ein entsprechender Konsistenz-Abgleich durch 
den Serviceanbieter wahrend jeder einzelnen Transaktion 
relativ aufwendig ist, erfolgt vorzugsweise vor einer erstma- 
ligen Transaktion ein Registriervorgang, bei dem zumindest 
ein leil der Servicenutzer-Daten an den Serviceanbieter 
ubermittelt werden. Es erfolgt dann sofort die tJberprufung 
der Servicenutzer-Daten, beispielsweise der vollstandi'ge 
Konsistenz-Abgleich. Bei erfolgreicher Regis trierung wird 
dem Service-Nutzer schlieBlich eine personliche Identifizie- 
rungsnummer, im Folgenden PIN genannt, Ubermiittelt, die 
diesem Servicenutzer zugeordnet ist Bei einer spateren 
Transaktion wird dann zunachst die PIN vom Servicenutzer 
an den Serviceanbieter ubermittelt, wbmit dieser automa- 
tisch iiber die Daten des aktuellen Service-Nutzers infor- 
miert ist Vom Service- Anbieter wird dann vorzugsweise an- 
. stelle der kompletten Servicenutzer-Daten nur noch die PIN 
Oberpriift Selbstverstandlich ist es aber auch moglich, dass 
bei jeder Sitzung der Servicenutzer emeut seine Daten ge- 
meinsam mit der PIN eingibt und sowohl die Servicenutzer- 
Daten als' auch die PIN uberpriift werden. 
[0015] Die personliche Mentifizierungsnummer kann bei- 
spielsweise - wie auch das Transaktionskennwort - iiber ein 
Mobilfunknetz an das mobile Kommunikationsendgerat des 
Kunden ubermittelt werden. 



[0016] Bei einem weiteren bevorzugten Ausfiihrungsbei- 
spiel werden vorm Servicenutzer unter Angabe der PIN dem 
Serviceanbieter Servicenutzer-Daten iibermittelt, die bei 
nachfolgenden TVansaktionen verwendet werden. Hierbei 
5 hahdelt es sich sozusagen urn eine zweite Registrierungs- 
stufe, bei der dem Serviceanbieter die Servicenutzer-Daten 
ubermittelt werden, die er bei der ersten Registrierung nicht 
erhalten hat Alternativ ist auf diese Weise natiirlich auch 
eine Anderung von Servicenutzer-Daten moglich, beispiels- 

10 weise wenn def Servicenutzer ein anderes Kommunikati- 
onsendgerat mit einer Mobilfunk-Teilnehmernummer ver- 
wenden mochte oder eine andere Kreditkarte mit einer ande- 
ren Kreditkartennummer zur Zahlung verwenden mochte. 
[0017] Selbstverstandlich ist bei jeder Registrierung eine 

15 Eingabe verschiedener Kreditkartennurnmern, beispiels- 
weise von verschiedeneh Kreditkartengesellschaften, oder 
auch eine Eingabe von mehreren verschiedenen Mobilfunk- 
teilnehmern, beispielsweise von verschiedenen Kommuni- 
kadonsendgeraten, moglich. Der Servicenutzer kann dann 

20 bei einer spateren Nutzung des Service jederzeit unter den 
verschiedenen Moglichkeiten wahlen. 

[0018] Die tJbermittlung der Servicenutzer-Daten und/ 
oder der PIN iiber das Computernetzwerk erfolgt vorzugs- 
weise auf gesicherte Weise, d. h. es wird ein gesicherter Ka- 

25 nal, beispielsweise das SSL- Verfahren, verwendet, bei dem 
diese sensiblen Daten verschliisselt ubermittelt werden. 
[0019] Das TVansaktionskennwort bzw. die personliche 
Identiflzierungsnummer wird auf das mobile Kommunikati- 
onsendgerat des Servicenutzers vorzugsweise als Textriach- 

30 richt, beispielsweise SMS, ubenmttelt Dieses Verfahren ist 
auBerst kostengiinstig, da es nur wenig tjbertragungskapazi- 
tat benotigt Der Servicenutzer kann die PIN bzw. das Trans- 
aktionskennwort im Klartext vom Display seines Kommuni- 
kationsendgerats ablesen und an entsprechender Stelle in ei- 

35 ner Eingabemaske an seinem PC eingeben. 

[0020] Bei einem bevorzugten Ausflihrungsbeispiel erhalt 
der Servicenutzer die PIN von einem Mobilfunknetz-Anbie- 
ter oder einem damit verbundenen Dienstleister. Dem Mo- 
bilfunknetz-Anbieter bzw. dem damit verbundenen Dienst- 

40 leister sind Name, Adresse und Mobilfunk-Teilnehmernum- 
mer des Servicenutzers bereits bekannt Unter Angabe die- 
ser PIN ubermittelt dann der Servicenutzer dem Servicean- 
bieter eine Kreditkartennummer, die bei nachfolgenden 
Transaktionen verwendet wird. Der Serviceanbieter uber- 

45 pruft die PIN durch Vergieich mit der PIN, die er gemeinsam 
mit den personlichen Daten ebenfalls vom Mobilfunknetz- 
Anbieter oder dem damit verbundenen Dienstleister erhalten 
hat und ordnet diesen Daten die Kreditkartennummer zu 
und/oder fuhrt einen entsprechenden Konsistenz-Abgleich 

50 durch eine Datenbank- Abfrage bei der betreffenden Kredit- 
karten-Organisation durch. Alternativ ist es selbstverstand- 
lich auch moglich, dass der Servicebetreiber die erhaltene 
PEN lediglich an den Mobilfunknetz-Anbieter oder den da- 
mit verbundenen Dienstleister zur Uberpriifung weiterleitet 

55 und von diesem lediglich eine Information zuruckerhalt, 
dass die Daten in Ordnung sind. Bei erfolgreicher tiberprii- 
fung wird der Service freigeschaltet und kann jederzeit vom 
Servicenutzer genutzt werden. Der Service funktioniert in 
diesem Fall nur mit der Mobilfurik-Teimehmernurnmer, 

60 iiber die der Nutzer urspriinglich beim Mobilfunknetz-An- 
bieter bekannt ist Die Kreditkartennummer kann mit die- 
sem Verfahren jederzeit vom Servicenutzer geandert wer- 
den. 

[0021] Bei einem alternativen Verfahren wird die PIN von 
65 einer Kreditkartenorganisation oder einem damit verbunde- 
nen Dienstleister an den Servicenutzer ubermittelt In. die- 
• sem Fall kann der Servicenutzer mit der erhalteneh PIN die 
Registrierung beim Serviceanbieter durchfTihren und dabei 
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■ seine M ob ilfu n k-Teiln ehmemummer angeben. Auch hier 
erfolgt wie im vorherigen Fall zunachst eine Oberpriifung 
aller Daten. AnschlieBend wird der Service freigeschaltet, 
wobei in diesem Fall der Service nur in Verbindung mit der 
anfangs bekannten Kreditkartennunimer runktioniert, unter 5 
der der Servicenutzer auch bei der Kreditkartenorganisation 
gemeldet ist, die die PIN ubermittelt hat Die Mobilfunk- 
Teilnehmernummer kann jederzeit vom Servicenutzer durch 
eine erneute Registrierung mit der PIN geandert werden. 
[0022] Das erfindungsgemaBe Verfahren zur Sicherung 10 
von Transaktionen kann bei beliebigen "Vbrgangen einge- 
setzt werden. Es kann beispielsweise direkt im Online-Ban- 
king- Verfahren verwendet werden. AuBerdem kann es auch 
fur Einkaufe iiber das Internet und die darauf folgende Zah- 
lung verwendet werden. Der Serviceanbieter braucht hierbei 15 
nicht zwangslaufig mit dem Intemetshop-Betreiber iden- 
tisch zu sein. Es muss lediglich eine entsprechende - direkte 
oder indirekte - Verbindung zwischen Serviceanbieter und. 
Shop-Betreiber bestehen, d. h. Shop-Betreiber und Service- 
anbieter sind beispielsweise Vertragspartner oder sind iiber 20 
einen gemeinsamen Vertragspartner miteinander verbunden. 
Bei dem Serviceanbieter kann es sich beispielsweise auch 
um die Kreditkartenorganisation oder den Mobilfunknetz- 
Anbieter selbst handeln. Es kann sich aber auch um eine 
vollstandig eigenstandige Organisation handeln, die mit den 25 
verschiedenen anderen Organisationen und Betreibem in 
Gescharltsverbindung stent 

[0023] Das erfindungsgemaBe Verfahren bietet auBerdem 
die Moglichkeit, dass mit dem Transaktionskennwort und/ 
oder der PIN weitere Informationen an das mobile Kommu- 30 
nikationsendgerat des Servicenutzers ubermittelt werden. 
Bei diesen zusatzlichen Informationen kann es sich bei- 
spielsweise um aktuelle Informationen iiber den Dienst 
selbst handeln. Es kann sich aber auch um Werbung oder 
ahnliches handeln. In diesem Fall ist beispielsweise auch 35 
eine Finanzierung des Service iiber die mit dem Transakti- 
onskennwort oder der PIN gesendete Werbung mogiich, so 
dass fur die Shop-Betreiber, den Servicenutzer, fur die betei- 
ligte Kreditkartenorganisation oder den Mobilfunknetz-An- 
bieter keine zusatzlichen Kosten entstehen. 40 
[0024] Da die Nachrichten auf ein mobiles Kommunikati- 
onsendgerat iiber ein Mobilfunknetz ubermittelt werden; ist 
das Verfahren auBerst flexibel, d. h. der Servicenutzer ist 
nicht darauf angewiesen, die Transaktionen vori seinem ei- 
genen PC an einem festen Standort durchzufuhren, sondem 45 
kann jeden beliebigen ihm zur Verfugung stehenden Rech- 
ner nutzen. Das erfindungsgemaBe Verfahren ist folglich 
uberall dort einsetzbar, wo der Kunde mit seinem mobilen 
Kommunikationsendgerat erreichbar ist, d..h. bei Verwen- 
dung eines Mobilfunkgerats auch international dort, wo 50 
Roaming mogiich ist. Es wird keine spezielle Infrastruktur 
wie beispielsweise ein Smart-Card-Tferrninal am gerade vom 
Kunden benutzten Computer benotigt 
[0025] Das gesamte Verfahren der Registrierung der Kun- 
den, der Obermitdung von Identifizierungsnummern so wie 55 
yon Transaktions-Kennworten sowie die Uberpriifung der 
verschiedenen Daten kann vollautomatisch iiber einen ge- 
eigneten Computer, beispielsweise einen Server des Ser- 
vicebetreibers, erfolgen, auf dem ein entsprechendes Com- 
puterprogramm implementiert ist 60 
[0026] Die Erfindung wird im Folgenden noch einmal an- 
hand konkreter Ausfuhrungsbeispieie erlautert 
Bei den folgenden Ausfuhrungsbeispielen wird jeweils da- 
von ausgegangen, dass es sich bei dem Transaktionskenn- 
wort um eine Nummer, cL h. eine TAN, handelt. AuBerdem 65 
wird davon ausgegangen,' dass die tJbermittlung der ver- 
schiedenen TAN und der PIN uber SMS auf ein Mobilfunk 
gerat des Servicenutzers erfolgt Ebenso erfolgt die letztend- 



liche Zahlung immer iiber eine Kreditkarte des Servicenut- 
zers, wobei die Belastung der Kreditkarte des Servicenut- 
zers durch den Serviceanbieter auf eine allgemein bekannte, 
ubliche Weise erfolgen kann. Selbstverstandlich ist die Er- 
findung nicht auf diese konkreten Ausfuhrungsbeispieie be- 
schrankt. 

[0027] m Beim ersten Ausfuhrungsbeispiel handelt es sich 
um einen Spontankauf eines bisher beim Serviceanbieter 
nicht registrierten Servicenutzers * 

[0028] Voraussetzung fur die Abwicklung einer sicheren 
Kreditkartenzahlung ist auch hier ein Konsistenz-Abgleich 
der Servicenutzer-Daten, namlich der Kreditkartennummer, 
der Mobilfunknurnmer sowie der Adresse und des Namens 
des . Servicenutzers. Dieser Konsistenz-Abgleich erfolgt 
zwischen Serviceanbieter, Mobilfunknetz- Anbieter und 
Kreditkartenorganisation. 

[0029] Wahrend des Shopperts am PC, nach Aktivieren ei- 
nes Bezahtvorgangs, wird der Servicenutzer auf den Inter- 
net-Server bzw. eine Website des Servicebetreibers weiter- 
geleitet Hier gibt der Servicenutzer in einer entsprechenden 
Dialogmaske auf seinem PC seine Kreditkartennummer und 
seine Mobilfunknurnmer ein, die mittels eine sicheren Ober- 
fragung, beispielsweise mittels SSL, zum Server iibertragen 
werden. Name und Adresse konnen hier ebenfalls eingege- 
ben werden und mit iibertragen werden. In der Regel sind 
die Daten aber bereits auf der Website des Internet-Shops 
angegeben worden, da diese Daten ja auch zur Auslieferung 
der Ware benotigt werden. Diese Daten konnen daher beim 
Weiterleiten des Servicenutzers auf den Internet- Server bzw. 
die Website des Servicebetreibers auch direkt vom Shop- 
Betreiber an den Servicebetreiber weitergegeben werden. 
[0030] Der Serviceanbieter fuhrt dann den notwendigen 
Abgleich aller Servicenutzer-Daten mittels einer entspre- 
chenden Datenbank-Abfrage beim Mobilfunkbetreiber und 
einer gleichzeitigen Datenbankabfrage bei der Kreditkarten- 
gesellschaft durch. Bei positivem Abfrageergebms ist der 
Service freigeschaltet, und der Servicenutzer erhalt eine ein- 
malige TAN fur diesen Bezahlvorgang mittels SMS auf sein 
Mobilfunkgerat zugeschickt Es erfolgt dann die Eingabe 
der TAN durch den Servicenutzer am PC in eine entspre- 
chende Eingabemaske. SchlieBlich wird die TAN vom PC 
zum Hintergrundsystem, beispielsweise zum Internet-Ser- 
ver des Servicebetreibers, gesendet Es erfolgt dann ein Ver- 
gleich der an den Servicenutzer gesendeten TAN mit der 
dort hinterlegten TAN. Bei erfolgreichem Vergleich erfolgt 
die Belastung auf dem Kreditkartenkonto des Servicenut- 
zers. Der Servicenutzer selbst erhalt eine Bestatigung der er- 
folgreichen Kreditkartenzahlung. 

[0031] Beim zweiten Ausfiihrungsbei spiel wird davon 
ausgegangen, dass der Servicenutzer bereits beim Service- 
anbieter zuvor registriert ist und im Zuge des Registrie- 
rungsvorgangs eine eindeutige PIN erhalten hat 
[0032] Hierbei meldet sich der registrierte Servicenutzer 
wahrend des Shoppens am PC auf dem Internetserver des 
Servicebetreibers mittels seiner PIN iiber einen sicheren Ka- 
nal an. AnschlieBend wird die PIN beim Servicebetreiber 
uberpruft und der Service fur. die aktuelle Sitzung freige- 
schaltet Der Servicenutzer hat dann beispielsweise die 
Moglichkeit, innerhalb eines Internet-Shop einen Waren- 
korb zusammenzustellen. Nachdem der Warenkorb zusam- 
mengestellt wurde, muss dann der Servicenutzer nur noch 
den Bezahlvorgang, beispielsweise mittels eines Button auf 
der Website des Serviceanbieters, aktivieren* Daraufhin 
wird sofort die TAN auf das Mobilfunkgerat des Servicenut- 
zers ubermittelt Auch hier wird dann die TAN vom Service- 
nutzer am PC in eine Eingabemaske eingegeben und iiber 
das Computemetzwerk zuriickubermittelt Nach erfolgrei- 
chem Vergleich der TAN wird wiederum das Kreditkarten- 
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konto das Servicenutzers belastet, unci es erfolgt eine Besta- line-Registrierung. 

tigung der erfolgreichen Kreditkartenzahlungi [0042] Voraussetzung fiir diese reine Online-Registrie- 

[0033] Selbstverstandlich ist es moglich, dass der Service- rung ist wiederum ein Konsistenz-Abgleich der angegebe- 

nutzer unter verschiedenen Kreditkartengesellschaften aus- nen Servicenutzer-Daten zwischen dem Serviceanbieter, 

wahlt, von denen er jeweils Kreditkarten besitzt Dies kann 5 dem betreffenden Mobilfunknetz-Anbieter und der Kredit- 

ihherhalb einer Eingabemaske auf der Website des Service- kartenorganisation. 

anbieters abgefragt werden. Selbst im Falie einer zuvor er- [0043] Hierbei loggt sich der Servicenutzer auf einer spe- 

folgten Registrierung besteht diese Moglichkeit, sofern der , ziellen Registrierungs- Web-Site des Serviceanbieters ein 

Servicenutzer bei der Registrierung die verschiedenen Kre- und gibt dort Namen, Adresse sowie Kreditkartenhurnmer 

ditkartengesellscbaiten mit den entsprechenden Kreditkar- 10 und Mobilfunkteilnehmernummer an. Der Serviceanbieter 

tennummern angegeben hat. Eberiso kann zwischen ver- fiihrt anschlieBend einen Abgleich der Servicenutzer-Daten 

schiedenen Mobilfunkgeraten mit unterschiedlichen Mobil- mittels einer Datenbankabfrage beim Mobilfunknetz- Anbie- 

funknummem geWahlt werden, sofern dies zuvor bei der ter und eine Datenbankabfrage bei der Kreditkartengesell- 

Registrierung angegeben worden ist. schaft durch. Nur bei positiven Abfrageergebnissen ist der 

[0034] Fiir die Registrierung gibt es ebenfalls mehrere Al- 15 Service freigeschaltet, und der Servicenutzer erhalt eine PIN 

ternativen, wobei im Folgenden vier verschiedene Beispiele zur Nutzung des Service. Diese PIN kann auf beliebigem 

genannt werden. Wege, beispielsweise per Post, ubermittelt werden. , Vbrzugs- 

[0035] Bei der ersten Version kennt der Serviceanbieter weise erfolgt jedoch diese PIN-Ubertragung ebenfalls uber 

den Servicenutzer bereits als Kreditkartenhalter, d. h. es sind das Mobilfunknetz auf das Mobilf unkgerat unter der einge- 

ihm Name, Adresse und Kreditkartennummer bekannt. Dies 20 gebenen Mobilfunk-Nummer. Die Ubertragung der PIN 

ist beispielsweise dann der Fall, wenn der Servicebetreiber kann hierbei ebenfalls uber SMS erf olgen. Dieses Verfahren 

selbst die betreffende Kreditkartenorganisation ist oder mit hat den Vorteil, dass der Servicenutzer nicht erst auf die Zu- 

einer solchen in geschaftlicher Verbindung steht und die Da- stellung eines Briefs warten muss, sondern die Obermittlung 

ten untereinander austauscht der PIN unmittelbar nach der Online-Registrierung erfolgen 

[0036] In diesem Fall bekommt der Servicenutzer von sei- 25 kann und somit der Dienst dem Servicenutzer sofort zur Ver- 

nerKxemtkartenorganisationoderememdamit verbundenen fugung steht. 

Dienstleister eine PIN zur Nutzung des Service zugestellt [0044] Anhand der Figur wird nachfolgend noch einmal 

Mittels dieser PIN kann sich der Servicenutzer auf dem Ser- ein weiteres Ausfiihrungsbeispiel fiir eine Nutzung nach ei- 

ver des Serviceanbieters einloggen und seine Mobilf unk- ner zuvor erfolgten Registrierung beschrieben, wobei bei 

nummer zur Benutzung des Service eingeben. Damit wird 30. diesem speziellen Ausfiihrungsbeispiel der Internet-Shop 

der Service freigeschaltet Der Service funktioniert nur mit (Web-Shop) nicht direkt mit dem Serviceanbieter in Kontakt 

der Kreditkartennummer, die dem Serviceanbieter bereits steht, sondern ein weiterer Dienstleister, hier ein Payment- 

bekannt ist Die Mobilfunknummer kann jederzeit durch er- Service-Provider (PSP) zwischengeschaltet ist 

. neutes Einloggen unter Eingabe der PIN geandert werden. . [0045] Auch hier loggt sich der Servicenutzer zunachst 
[0037] . Bei der zweiten Version kennt dei* Serviceanbieter 35 uber das Internet beim gewunschten Web-Shop ein und fiihrt 
den Servicenutzer bereits in seiner Person als Mobilfunknut- dort eine Bestellung aus. Zur Einziehung des dafur falligen 
zer, d. h. dem Serviceanbieter sind Name, Adresse und Mo- Betrags sendet der Web-Shop den Betrag beispielsweise ge- 
bilfunknummer bekannt Dies ist beispielsweise der Fall, . meinsam mit Namen und Adresse des Servicenutzers an den 
wenn der Servicebetreiber selbst der Mobilfunknetzbetrei- Payment-Semce-Provider. iMeser erteilt schliefilich dem 
ber ist oder mit diesem in Verbindung steht 40 Serviceanbieter einen Auftrag zur Kiindenidenti fizierung. 
[0038] In diesem FaU bekommt der Servicenutzer von sei- Gleichzeitig wird der Servicenutzer automatisch auf die 
nem Mobilfunknetzbetraber oder emem damit verbundenen Website des Serviceanbieters weitergeleitet. Hier muB der 
Dienstleister die PIN zur Nutzung des Service zugestellt Nutzer zunachst die PIN zum Freischalten des Bezahlser- 
Mittels der PIN loggt sich der Servicenutzer wiederum auf vice angeben. AnschlieBend werden die Daten bzw. die PIN 
dem Server des Serviceanbieters ein und gibt seine Kredit- 45 des Servicenutzers auf Konsistenz uberpriift und auch mit 
kartennurnmer zur Nutzung des Service ein. In diesem Fall den vom Payment-Service-Provider erhaltenen Daten ver- 
funktioniert der Service nur mit der dem Serviceanbieter be- glichen. Nach erfolgreicher Uberpriirung sendet der Ser- 
reits bekannten Mobilfunkteimehmemummer. Die Kredit- viceanbieter Uber das GSM-Netz eine TAN an das Mobil- 
kartennummer kann jederzeit unter Eingabe der PIN wieder funkgerat des Servicenutzers, der wiederum die TAN vom 
geandert werden. 50 Display des Mobilfunkgerats abliest und zur Transaktions- 
[0039] Bei einer dritten Version erfolgt die Registrierung bestatigung an entsprechender Stelle in eine Eingabemaske 
in einem Mobilfunkladen. Hier werden ebenfalls Name, auf seinem PC eingibt Die TAN wird dann uber das Internet 
Adresse und Mobilfunknummer registriert, und der Service- zur Priifung an den Serviceanbieter gesendet Bei erfolgrei- 
nutzer erhalt beispielsweise einen PIN-Brief, Diese Regi- cher tJberpriifung der TAN wird dem Payment-Service-Pro 1 , 
strierung kann auch beim Postboten oder im Postamt erfol- 55 vider ein "Kunde-O.K "-Signal Ubermittelt per Payment- 
gen. Mittels der zugestellten PIN kann sich der Servicenut- Service-Provider sorgt schliefilich fiir das Einziehen des Be- 
zer auf dem Server des Serviceanbieters einloggen und wie- trags von einem Kreditkartenkonto des Servicenutzers und 

. derum seine Kreditkartennummer zur Nutzung des Service quittiert die erfolgreiche Zahlung an den Web- Shop mit ei- 

eingeben. Auch dann erfolgt der Service nur mit der anf angs nem. "Payment-O.K." Signal, 
registrierten Mobilfunknummer. .60 

[0040] Selbstverstandlich ist bei dieser dritten Alternative Patentanspriiche 
auch die . Moglichkeit gegeben, dass beispielsweise beim 

Postboten oder im Postamt anstelle der Mobilfunknummer 1. Verfahren zum Absichern einer Transaktion uber 

die Kreditkartennummer mit der betreffenden Kreditkarten- ein Computemetzwerk, bei dem an einen Servicenutzer 

organisation registriert wird und anschlieBend mittels der 65 ein einmaliges Transaktionskenn wort ubermittelt wird, 

■ PIN die Mobilfunkteimehmemummer angegeben und gege- welches zur Transakrlonsbestatigung vom Servicenut- 

benenfaLLs geandert wird. zer uber das Computemetzwerk an einen Serviceanbie- 

[0041] Das vierte Regis triemngsbeispiel ist eine reine On- ter ubermittelt wird, wobei das Transaktionskennwort 



DE 100 45 924 A 1 

9 10 



iiber ein Mobilfunknetz an ein mobiles Kommunikati- 
orrsendgerat des Servicenutzers ubermittelt wird, da- 
durch gekennzeichnet, dass vor einer tjbermittlung 
des Trans aktions-Kenn worts an den Servicenutzer eine 
tJberpriifung personlicher Servicenutzer-Daten erfolgt 5 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, dass das Transaktionskennwort wahrend oder un- 
rnittelbar vor einer Transaktion an den Servicenutzer 
. ubermittelt wird. 

3. Verfahren nach einem der Anspruche 1 bis 2, da- 10 
durch gekennzeichnet, dass zumindest ein Teil der Ser- 
vicenutzer-Daten wahrend einer Transaktion vom Ser- 
vicenutzer fiber das Computemetzwerk an den Service- 
anbieter ubermittelt werden. 

4. Verfahren nach einem der Anspruche 1 bis 3j da- 15 
durch gekennzeichnet, dass zumindest ein Teil der Ser- 
vicenutzer-Daten bei einem ersten Registriervorgang 
vor einer erstmaligen Transaktion an den Serviceanbie- 
ter iibermittelt werden und diese Servicenutzer-Daten 
gepriift werden und dem Servicenutzer bei erfolgter 20 
Registrierung eine dem Servicenutzer zugeordnete per- 
sonliche Identifizierungsnummer ubermittelt wird und 
bei einer Transaktion die personliche Identifizierungs- 
nummer vom Servicenutzer an den Serviceanbieter 
ubermittelt wird und vom Serviceanbieter zusarnmen 25 
mit den oder anstelle der Servicenutzer-Daten die per- 
sonliche Identifizierungsnummer gepriift wird. 

5. Verfahren nach Anspruch 4, dadurch gekennzeich- 
net, dass die personliche Identifizierungsnummer iiber 

. ein Mobilfunknetz an das mobile Kommunikations- 30 
endgerat des Servicenutzer ubermittelt wird. 

6. Verfahren nach Anspruch 4 oder 5, dadurch gekenn- 
zeichnet, dass vom Servicenutzer an den Serviceanbie- 
ter unter Angabe der personlichen Identifizierungs- 
nummer Servicenutzer-Daten ubermittelt werden, die 35 
bei nachfolgenden Transaktionen verwendet werden, 

7. Verfahren nach einem der Anspruche 2 bis 6, da- 
durch gekennzeichnet, dass die Servicenutzer-Daten 
einen Namen und/oder eine Adresse und/oder eine 
Kreditkartennuminer und/oder eine Mobilfunk-Teil- 40 
nehmemummer des Servicenutzers umfassen. 

8. Verfahren nach Anspruch 6 oder 7, dadurch gekenn- 
zeichnet, dass der Servicenutzer die personliche Identi- 
fizierungsnummer von einem Mpbilfunknetzbetreiber 
oder einem damit verbundenen Dienstleister ubermit- 45 
telt wird und unter Angabe der personlichen Identifi- 
zierungsnummer vom Servicenutzer dem Servicean- 
bieter eine Kreditkartennummer Ubermittelt wird, die 
bei nachfolgenden Transaktionen verwendet wird. 

9. Verfahren nach Anspruch 6 oder 7, dadurch gekenn- 50 
zeichnet, dass der Servicenutzer die personliche Identi- 
fizierungsnummer von einer Kreditkartenorganisation 
oder einem damit verbundenen Dienstleister iibermit- 
telt wird, und unter Angabe der personlichen Identifi- 
zierungsnummer vom Servicenutzer dem Servicean- 55 
bieter eine Mobilfunk-Teilnehmernummer ubermittelt 
wird, die bei nachfolgenden Transaktionen verwendet 
wircL 

10. Verfahren nach einem der Anspruche .1 bis 9, da- 
durch gekennzeichnet, dass die Servicenutzer-Daten 60 
und/oder die persdnliche Identifizierungsnummer gesi- 
chert iiber das Computemetzwerk ubermittelt wird. 

11. Verfahren nach einem der Anspruche 1 bis 10, da- 
durch gekennzeichnet, dass das Transaktionskennwort 
oder die personliche Identifizierungsnummer als Text- 65 
nachricht ubermittelt wird. 

12. Verfahren nach einem der Anspruche 1 bis 11, da- 
durch gekennzeichnet, dass mit dem Transaktions- 



kennwort und/oder der personlichen Identifizierungs- 
nummer zusatzliche Informationen zum Kommunikati- 
onsendgerat des Servicenutzers iibermittelt. werden. 
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